Business Email Compromise and Email Account Compromise

COVID-19: Comment obtenir une aide financière sans se faire pirater ?

Que vous soyez particulier, indépendant, salarié ou représentant d’une entreprise, vous pourrez probablement bénéficier d’une mesure de soutien ou d’une aide financière dans le cadre de la crise sanitaire que nous traversons actuellement. Les premières mesures pour les entreprises sont d’ailleurs centralisées sur le Portail de l’Economie, des Finances, de l’Action et des Comptes Publics. Malheureusement comme toujours, les cybercriminels vont profiter de ce genre de situation pour tendre de nouveaux pièges, propager de fausses informations, tenter de dérober des données personnelles voire des fonds à des usagers déjà fragilisés.

Certains de nos voisins allemands en ont par exemple déjà fait l’amère expérience, en se faisant piéger la semaine dernière par des campagnes de phishing ciblées. Ces campagnes véhiculaient des liens vers de faux sites web usurpant des sites légitimes du gouvernement qui proposaient des aides aux entreprises en état d’urgence. Lorsque l’arnaque a été mise au jour, les aides ont dû être momentanément coupées…

D’une manière générale, les cybercriminels ont recours à une grande variété de techniques pour piéger leurs victimes : appels téléphoniques, SMS, réseaux sociaux, emails et fausses pages web. Et le coronavirus est actuellement LE thème de prédilection, puisqu’il est récemment devenu le leurre de cyberattaque le plus utilisé à l’échelle mondiale !

Question : les sites web pour l’aide française sont-ils bien préparés ?

Pour vérifier le degré d’exposition au risque des sites web français proposant des aides dans le cadre du COVID-19, Proofpoint a réalisé une analyse DMARC sur les 14 principaux sites officiels concernés.

DMARC (Domain-based Message Authentication, Reporting & Conformance) est l’équivalent d’un contrôle de passeport dans le monde de la sécurité des emails. Il s’agit d’une authentification qui protège tous les usagers (consommateurs, employés, clients et partenaires) contre les cybercriminels cherchant à usurper l’identité d’une marque de confiance.

Verdict : sur les 14 principaux sites web français mentionnés dans les procédures d’aide aux particuliers et/ou aux professionnels, seuls 3 sont préparés contre les attaques d'usurpation d'identité de leur domaine (economie.gouv.fr, impots.gouv.fr et mieist.finances.gouv.fr).

Les cybercriminels ont donc le champ libre pour émettre des courriels frauduleux, aux couleurs officielles des sites d’aide : on imagine facilement la suite …

Pourquoi les services publics ne prennent-ils pas davantage de mesures proactives pour nous protéger contre ces tentatives de cyberattaque et ainsi éviter aux usagers victimes de voir leurs données personnelles exposées ou leurs fonds détournés ?

Toutes les organisations privées et publiques devraient envisager de déployer des protocoles d’authentification comme DMARC pour renforcer leurs défenses contre la fraude par email. Les cybercriminels tireront toujours parti d’événements clés ou de crises pour mener des attaques ciblées à l’aide de techniques d’ingénierie sociale telles que l’usurpation d’identité ; les sites du gouvernement et des organismes du service public ne font pas exception à cette règle et deviennent ici un support d’attaques de choix.

Alors comment éviter de se faire piéger ?

Afin d’effectuer ses démarches administratives et demandes d’aide en ligne en toute sécurité, Proofpoint recommande aux usagers d’adopter certains réflexes :

  • Référez-vous uniquement aux sources officielles pour obtenir des informations sur les aides. Evitez de cliquer sur des liens que vous auriez reçus, même d’un expéditeur d’apparence officielle. De préférence, tapez l’adresse du site web connu directement dans votre navigateur.
  • Ignorez toutes les sollicitations par courriel, téléphone, SMS ou sur les réseaux sociaux, en particulier celles qui vous incitent à communiquer vos informations personnelles pour obtenir des fonds, ou pour les obtenir plus rapidement. Personne ne devrait vous contacter pour vous demander de (re)vérifier vos informations financières afin d’obtenir un remboursement plus rapidement.
  • Soyez vigilants quand vous naviguez sur un site web d’apparence légitime. Les cybercriminels créent des sites d’apparence trompeuse en imitant parfois presque parfaitement les sites légitimes. Ces sites frauduleux sont infectés par des logiciels malveillants qui vont tenter d’infecter votre machine ou de voler argent et identifiants.
  • Utilisez des mots de passe forts et ne réutilisez pas deux fois le même mot de passe. Un gestionnaire de mots de passe est une bonne solution pour mémoriser vos mots de passe et rendre votre expérience de navigation agréable, en toute sécurité.
  • Évitez les réseaux Wi-Fi non protégés : le Wi-Fi en accès libre n’est pas sécurisé - les cybercriminels peuvent intercepter des données transférées sur une zone Wi-Fi non protégée, y compris les numéros de cartes bancaires, les mots de passe, les informations personnelles de compte, etc.